Non si apre più nessun programma

[Inoki2]

Un mio amico nel suo pc ha scaricato un exe che non doveva... una volta aperto, gli è scomparso il tasto esegui, trova, impostazioni, pannello di controllo. Non va internet e qualsiasi programma che prova ad aprire dice che quell'utente non ha l'autorizzazione, ci sono delle restrizioni e non me li fa aprire, anche facendo tasto win+r (tasto rapido per "esegui") mi da sempre errore di autorizzazione.

Nel suo pc ha 3 account, "admin", "master" e "seraphan", questi problemi li ha solo nell'account admin, dove appunto è stato aperto quel virus.

Entrando nell'account "master" (dove si possono tranquillamente usare i programmi e internet va) gli ho fatto scaricare ed installare malware bytes, abbiamo trovato qualcosa e lo abbiamo eliminato, ma nelll'account "admin" è ancora tutto presente.

Allora gli ho fatto fare un system scan.

eccolo:

http://www.savefile.com/files/2098021

mancano però "alternate data streams", "hidden objects" e "sospicious files" altrimenti system scan si bloccava


Spero possiate aiutarmi ! Grazie !

[Conetti]

Scansiona con HiJackThis e posta il risultato

[Habanero]

Originariamente inviato da Conetti
Scansiona con HiJackThis e posta il risultato

Guarda che nel suo caso il log di Systemscan contiene quello di Hiajckthis... :master:

[Conetti]

Grazie Habanero, non me n'ero accorto.
Ora gli dò un'occhiata comunque Inoki2 prova a dare un'occhiata a questo therad (http://forum.html.it/forum/showthrea...readid=1189991)

[Inoki2]

ho visto la discussione, sembra molto utile, in effetti dovrebbe far ripartire l'uso dei file .exe, ma poi come faccio a ripristinare l'uso del tasto eseguii, trova, pannello di controlo ecc ?

Anche li ci sono delle chiavi di registro per riattivarli ?

Systema scan non dice nulla ? grazie intanto, provo a fargli eseguire quel passaggio poi vi dico se gli exe hanno ripreso a funzionare

[Conetti]

Allora per i vari tasti di Start devi cliccare con il tasto destro del mouse sul pulsante Start e selezionare Proprietà --> Scheda Menu Start --> e clicchi su Personalizza.
Lì spunti le varie voci che vuoi visualizzare.
Dal log di HiJackThis non è risultato niente di anomalo

[Deifobe]

ciao Inoki2.. si, systemscan dice qualcosa..

Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt04.sqm
C:\sqmdata04.sqm
C:\sqmnoopt05.sqm
C:\sqmdata05.sqm
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmnoopt07.sqm
C:\sqmdata07.sqm
C:\sqmnoopt06.sqm
C:\sqmdata06.sqm
C:\Programmi\HP\HP Software Update\hpwuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\msqpdxpqltoiqn.sys

files to move:
C:\Programmi\ASUS\ASUS Remote\bak\RemoteControlAppl.exe | C:\Programmi\ASUS\ASUS Remote\RemoteControlAppl.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CyberLink\PowerCinema\bak\PCMService. exe | C:\Programmi\CyberLink\PowerCinema\PCMService.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\bak\hphupd08.exe | C:\Programmi\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe | C:\Programmi\HP\HP Software Update\hpwuSchd2.exe
C:\Programmi\Intel Audio Studio\bak\IntelAudioStudio.exe | C:\Programmi\Intel Audio Studio\IntelAudioStudio.exe
C:\Programmi\IPM\Adsl\DataWay\bak\dslstat.exe | C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\Programmi\Java\jre1.6.0_01\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Norton AntiVirus\bak\osCheck.exe | C:\Programmi\Norton AntiVirus\osCheck.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\m sqpdxserv.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\msqpdxserv.sys
HKEY_LOCAL_MACHINE\system\controlset003\services\m sqpdxserv.sys

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


Elimina la connessione "internet connection" se presente


Scarica Locate32 e installalo:
Clicca su esegui => avanti x 3 => togli tutte le spunte e spunta solo "create files .dbs files...." => clicca su "fine"
(se poi vuoi crearti l'icona sul desktop spunta anche la prima voce)

Eseguilo (start => tutti i programmi => locate => locate 32)
nella finestra che si apre clicca su: options => settings => auto update => add
in "schedule updates" inserisci At Startup => ok

1) Clicca su "Size and Date"
metti la spunta a "minimum filesize " e nella finestra a destra digita 14348 ("bytes")
metti la spunta a "maximum filesize " e nella finestra a destra digita 14348 ("bytes")

Clicca su "find now", comparirà un elenco di files.
Clicca su file => save reports => salvalo

2) Clicca su "Size and Date":
metti la spunta a "minimum filesize " e nella finestra a destra digita 15360 ("bytes")
metti la spunta a "maximum filesize " e nella finestra a destra digita 15360 ("bytes")

Clicca su "find now", comparirà un elenco di files.
Clicca su file => save reports => salvalo

3) Clicca su "Size and Date"
metti la spunta a "minimum filesize " e nella finestra a destra digita 12596 ("bytes")
metti la spunta a "maximum filesize " e nella finestra a destra digita 12596 ("bytes")

Clicca su "find now", comparirà un elenco di files.
Clicca su file => save reports => salvalo

carica i rapporti su Savefile e posta il link


Posta anche un nuovo systemscan completo. eseguilo e lascialo lavorare, vedrai che non si blocchera' (perchè, di fatto, quasi sicuramente, non si bloccava nemmeno prima... )

[Inoki2]

Allora per i vari tasti di Start devi cliccare con il tasto destro del mouse sul pulsante Start e selezionare Proprietà --> Scheda Menu Start --> e clicchi su Personalizza.

ieri pomeriggio ho visto il pc del mio amico, questo procedimento lo avevamo già fatto, appena clicchi su proprietà mi dice che c'è una restrizione anche li, lo fa anche schiacciando solo tasto windows+r.

ciao Inoki2.. si, systemscan dice qualcosa..

CIao Deifobe, tutto questo procedimento glielo faccio fare dopo quel procedimento scritto nellla discussione consigliata qua sopra (che dovrebbe farmi riandare l'esecuzione dei file exe) in modo da eseguire LOCATE 32 nell'account infetto (cioè admin) o posso farlo pure in un account diverso da quello infetto ? (ad esempio "Master", quello da dove ho fatto systemscan perchè su "admin" non me lo faceva partire) ?

Domani sera posso fargli fare tutto

[Conetti]

Prova allora a riavviare il processo Explorer.exe però se i file che stiamo mettendo a posto sono degli eseguibili è facile che se metti a posto questi file .exe i pulsanti di Start ricompaiono senza problemi

[Deifobe]

Originariamente inviato da Inoki2
[cut] o posso farlo pure in un account diverso da quello infetto ? (ad esempio "Master", quello da dove ho fatto systemscan perchè su "admin" non me lo faceva partire) ?

credo sia indifferente perchè cerca nel pc i file con determinate dimensioni.